Személyes adatok biztonsága

Az általános adatvédelmi rendelet előírja, hogy az adatkezelőknek és az adatfeldolgozóknak megfelelő technikai és szervezési intézkedéseket kell végrehajtaniuk annak érdekében, hogy biztosítsák a személyes adatok biztonságának a kockázatnak megfelelő szintjét.
Az alábbi információk tartalmazzák azokat az alapvető óvintézkedéseket, amelyeket a személyes adatokat kezelő szervezeteknek (azaz adatkezelőknek és adatfeldolgozóknak) figyelembe kell venniük. Nem célja, hogy teljes listát készítsen azokról az intézkedésekről, amelyeket a személyes adatok védelme érdekében minden körülmény között végre lehet hajtani. Az adatkezelőknek és az adatfeldolgozóknak ezeket az intézkedéseket a körülményekhez kell igazítaniuk (figyelembe véve a technika állását, az adatkezelés körülményeit és az egyéneket érintő kockázatokat).

Kapcsolat
GDPR 32. cikk

EUR-Lex

Kapcsolat
Biztonságos kkv

ENISA

Biztonság: mi forog kockán?

A biztonság hiányának következményei súlyosak lehetnek: a vállalatok láthatják, hogy képük romlik, elveszítik fogyasztóik bizalmát, nagy összegeket kell fizetniük egy biztonsági incidensből való felépülésért (például adatvédelmi incidenst követően), vagy tevékenységüket leállítják. A személyes adatok biztonsága mind az egyének, mind az adatokat kezelő szervezetek érdekeit szolgálják.
Az egyes adatkezelési műveletekből eredő kockázatok értékelése érdekében először is célszerű azonosítani az érintett személyek jogaira és szabadságaira gyakorolt lehetséges hatásokat. Míg a szervezeteknek saját érdekük érdekében meg kell védeniük az adataikat (személyes vagy nem), az alábbi információk az egyének adatainak védelmére összpontosítanak.
Az adatbiztonságnak három fő összetevője van: az adatok sértetlenségének, hozzáférhetőségének és bizalmas jellegének védelme. Ezért a szervezeteknek értékelniük kell az alábbiakkal kapcsolatos kockázatokat:

  1. az adatokhoz való jogosulatlan vagy véletlen hozzáférés – a bizalmasság megsértése (pl. személyazonosság-lopás a vállalat valamennyi alkalmazottja bérelszámolásának közzétételét követően);
  2. az adatok jogosulatlan vagy véletlen megváltoztatása – a sértetlenség megsértése (pl. a hozzáférési naplók módosításából eredő visszaéléssel vagy bűncselekménysel vádolt személy);
  3. adatvesztés vagy az adatokhoz való hozzáférés elvesztése – a rendelkezésre állás megsértése (pl. a gyógyszerkölcsönhatás észlelésének elmulasztása a beteg elektronikus nyilvántartásához való hozzáférés lehetetlensége miatt).

Célszerű továbbá azonosítani a kockázati forrásokat (azaz ki vagy mi állhat az egyes biztonsági események hátterében?), figyelembe véve a belső és külső emberi forrásokat (pl. informatikai adminisztrátor, felhasználó, külső támadó, versenytárs), valamint a belső vagy külső nem emberi forrásokat (pl. vízkárok, veszélyes anyagok, nem célzott számítógépes vírusok).
A kockázati források azonosítása lehetővé teszi a támogató eszközök (pl. hardver, szoftver, kommunikációs csatornák, papír stb.) potenciális fenyegetéseinek azonosítását (azaz milyen körülmények teszik lehetővé a biztonsági incidens bekövetkezését?), amelyek lehetnek: in an inappropriate manner (e.g. abuse of rights, handling error);

  • nem megfelelő módon történő felhasználás (pl. joggal való visszaélés, kezelési hiba);
  • módosított (pl. szoftver vagy hardver becsapódás – keylogger, rosszindulatú programok telepítése);
  • elveszett (pl. laptop ellopása, USB-kulcs elvesztése);
  • megfigyelt (pl. a vonat képernyőjének megfigyelése, az eszközök földrajzi elhelyezkedése);
  • megrongált (pl. vandalizmus, természetes károsodás);
  • túlterhelt (pl. teljes tárolóegység, szolgáltatásmegtagadási támadás).
  • nem elérhető (pl. zsarolóvírus esetén).

Továbbá ajánlatos:

  • meghatározni az egyes kockázatok kezelésére irányuló meglévő vagy tervezett intézkedéseket (pl. hozzáférés-ellenőrzés, biztonsági mentések, nyomonkövethetőség, helyiségek biztonsága, titkosítás);
  • megbecsülni a kockázatok súlyosságát és valószínűségét a fenti elemek alapján (példa a becsléshez használható skálára: elhanyagolható, mérsékelt, jelentős, maximális);
  • végrehajtani és ellenőrizni a tervezett intézkedéseket, amennyiben a meglévő és tervezett intézkedéseket megfelelőnek ítélik, biztosítják végrehajtásukat és nyomon követésüket;
  • időszakos biztonsági auditokat elvégezni: minden auditnak cselekvési tervet kell eredményeznie, amelynek végrehajtását a szervezet legmagasabb szintjén kell nyomon követni.

Az általános adatvédelmi rendelet bevezeti az „adatvédelmi hatásvizsgálat” fogalmát, amely minden olyan személyes-adatkezelés esetében kötelező, amely valószínűsíthetően magas kockázattal jár az egyének számára. Az adatvédelmi hatásvizsgálatnak tartalmaznia kell az azonosított kockázatok kezelésére tervezett intézkedéseket, beleértve a személyes adatok védelmét biztosító biztosítékokat, biztonsági intézkedéseket és mechanizmusokat.

A gyakorlatban

  • Annak érdekében, hogy világosabb képet kapjunk a biztonsági kockázatokról, létrehozhat például egy kockázatkezelési táblázatot, amelyet rendszeresen frissíthet. Ez a táblázat magában foglalhatja a szerverekhez, számítógépekhez vagy helyiségekhez kapcsolódó anyagi és emberi kockázatokat. A kellően előre látható kockázatok hozzájárulhatnak az incidens következményeinek enyhítéséhez.

Szervezeti intézkedések

A felhasználók tudatosságának növelése

Alapvető fontosságú, hogy a személyes adatokat kezelő munkavállalók vagy felhasználók (adatkezelők) tudatában legyenek a magánélet védelmével kapcsolatos kockázatokkal, és tájékoztassák őket a kockázatok kezelése érdekében hozott intézkedésekről és ennek elmaradása esetén felmerülő lehetséges következményekről.

A gyakorlatban

A felhasználók tudatosságának növelése a következő formákban valósulhat meg:

  • tudatosságnövelő foglalkozások;
  • az munkavállalók és az adatkezelők feladataira vonatkozó eljárások rendszeres frissítése;
  • belső kommunikáció, e-mail emlékeztetők stb.

Egy másik óvintézkedés az üzemeltetési eljárások dokumentálása, naprakészen tartása és az összes érintett adatkezelő számára könnyen elérhetővé tétele. Konkrétan, minden személyes-adatkezelési tevékenységet – függetlenül attól, hogy adminisztratív műveletekről vagy egy kérelem egyszerű használatáról van-e szó – világos nyelven kell elmagyarázni, és a kezelők egyes kategóriáihoz kell igazítani olyan dokumentumokban, amelyekre hivatkozhatnak.

 

Belső szabályzat kialakítása

A belső adatkezelők tudatossága dokumentum formáját öltheti, amelynek kötelező érvényűnek kell lennie, és be kell építenie a belső szabályozásba. A belső politikának különösen tartalmaznia kell az adatvédelmi és biztonsági szabályok leírását.

Egyéb szervezési intézkedések

  • Alkalmazzon egy információosztályozási politikát, amely több szintet határoz meg, és megköveteli a bizalmas adatokat tartalmazó dokumentumok és e-mailek jelölését.
  • Az érzékeny adatokat tartalmazó papíralapú vagy elektronikus dokumentum minden oldalán látható és egyértelmű nyilatkozatot kell tenni.
  • Információbiztonsági képzéseket és tudatosságnövelő foglalkozásokat tart. Rendszeres emlékeztetőket e-mailben vagy más belső kommunikációs eszközökön keresztül lehet biztosítani.
  • Titoktartási megállapodás aláírását írja elő, vagy a munkavállalókkal és más adatkezelőkkel kötött szerződésekben külön titoktartási záradékot tartalmaz a személyes adatokra vonatkozóan.

Technikai intézkedések

Biztonsági berendezések

Az információs rendszerek megbízhatóságába vetett bizalom kulcsfontosságú kérdés, és ennek biztosításának egyik módja a GDPR által kötelezővé tett megfelelő biztonsági intézkedések végrehajtása.

Különösen tanácsos biztosítani a következőket:

  • hardver (pl. szerverek, munkaállomások, laptopok, merevlemezek);
  • szoftverek (pl. operációs rendszer, üzleti szoftver);
  • kommunikációs csatornák (pl. száloptika, Wi-Fi, internet);
  • papíralapú dokumentumok (pl. nyomtatott dokumentumok, másolatok);
  • helyiségek.

Biztonságos munkaállomások

A munkaállomások biztosításakor a következő intézkedéseket lehetne mérlegelni:

  • automatikus munkamenet-záró mechanizmus biztosítása, ha a munkaállomást egy adott ideig nem használják;
  • tűzfalszoftver telepítése és a kommunikációs portok megnyitásának korlátozása a munkaállomásra telepített alkalmazások megfelelő működéséhez feltétlenül szükségesre;
  • rendszeresen frissített víruskereső szoftverek használata, és a szoftverek rendszeres frissítése;
  • a szoftver konfigurálása, hogy amikor csak lehetséges, automatikusan frissítse a biztonságot;
  • a felhasználói adatok tárolásának ösztönzése a szervezet hálózatán keresztül hozzáférhető, rendszeresen biztonsági mentéssel ellátott tárolóhelyen, nem pedig munkaállomásokon. Ha az adatokat helyben tárolják, szinkronizálási vagy biztonsági mentési képességek biztosítása a felhasználók számára, és felkészítésük a használatukra;
  • korlátozza a mobil adathordozók (USB kulcsok, külső merevlemezek stb.) csatlakoztatásának korlátozása az elengedhetetlenül szükségesre;
  • cserélhető adathordozók autómatikus futtatásának letiltása.

Mit ne tegyen

  • elavult operációs rendszerek használata;
  • adminisztrátori jogok delegálása azoknak a felhasználóknak, akik nem rendelkeznek számítógép-biztonsági készségekkel.

Továbbá

  • olyan letöltött alkalmazások használatának megtiltása, amelyek nem biztonságos forrásokból származnak;
  • azon alkalmazások használatának korlátozása, amelyek rendszergazda szintű jogokat igényelnek;
  • munkaállomáson lévő adatok biztonságos törlése, mielőtt áthelyezne oda egy másik személyt;
  • a munkaállomás veszélyeztetése esetén a szervezet információs rendszerébe való behatolás forrásának és nyomainak felkutatása annak megállapítása érdekében, hogy más elemek sérültek-e;
  • a szervezet információs rendszerében használt szoftverek és hardverek biztonsági ellenőrzésének elvégzése;
  • a kritikus biztonsági rések azonosítása és javítása esetén az alkalmazások frissítése;
  • a kritikus operációs rendszer frissítéseinek heti automatikus ellenőrzése ütemezésének haladéktalan telepítése;
  • a szervezet információs és kommunikációs rendszereit érintő biztonsági esemény vagy szokatlan esemény esetén a megfelelő lépések és a kapcsolattartó személyek listájának terjesztése minden felhasználó számára.

A gyakorlatban

  • Irodája nyitott tér kialakítású, és sok alkalmazottja van, de sok látogatója is van. Az automatikus munkamenetzárnak köszönhetően a vállalaton kívül senki sem férhet hozzá egy alkalmazott számítógépéhez szünet közben, vagy láthatja, hogy min dolgoznak. Ezenkívül egy tűzfal és egy naprakész víruskereső védi alkalmazottai internetes böngészését, és korlátozza a szerverekbe behatolásának kockázatát. Minél több intézkedést hoznak, annál nehezebben okoznak kárt rossz szándékú emberek vagy gondatlan alkalmazottak.

Védje a cég helyiségeit

A helyiségekbe való belépést ellenőrizni kell a papíralapú aktákhoz vagy számítógépes berendezésekhez, különösen a szerverekhez való közvetlen, jogosulatlan hozzáférés megakadályozása vagy lassítása érdekében.

Mit kell tenni

  • behatolásjelzők telepítése, és rendszeresen ellenőrzése;
  • füstérzékelőket és tűzoltó berendezések felszerelése és ellenőrzése évente;
  • a helyiségekbe való belépéshez használtkulcsok és riasztókódok védelme;
  • azépítési területek megkülönböztetése a kockázatnak megfelelően (pl. külön hozzáférés felügyelet biztosítása a számítógépes helyiség számára);
  • jegyzék vezetése az egyes területekre való belépésre jogosult személyekről vagy személyek kategóriáiról;
  • szabályok és eszközök megállapítása a látogatók hozzáférésének ellenőrzésére, legalább azzal, hogy a látogatókat a közterületeken kívül a szervezet valamely személye kísérje;
  • a számítógépes berendezések fizikai védelme meghatározott eszközökkel (dedikált tűzoltó rendszer, magasság az esetleges áradások ellen, redundáns áramellátás és/vagy légkondicionálás stb.).

Mit ne tegyünk

A szerverszoba környezetének (légkondicionálás, UPS stb.) karbantartásának alulméretezése vagy elhanyagolása. E berendezések meghibásodása gyakran a gépek leállását vagy a helyiségekbe való belépés megnyitását (levegő keringtetés) eredményezi, ami gyakorlatilag semlegesíti a biztonsági intézkedéseket.

Továbbá

Helyénvaló lehet nyilvántartást vezetni az olyan helyiségekbe vagy irodákba való belépésről, ahol olyan személyes adatokat tartalmazó anyagokat tárolnak, amelyek súlyos negatív hatást gyakorolhatnak az érintett személyekre. A személyzet képviselőinek tájékoztatását és a velük folytatott konzultációt követően tájékoztassa az adatkezelőket egy ilyen rendszer megvalósításáról.

Biztosítani kell továbbá, hogy a korlátozás alá vont területekre csak megfelelően felhatalmazott személyzet lépjen be. Például:

 

  • a korlátozás alá vont területeken belül minden egyénnek látható azonosító eszközt kell viselnie (jelvény);
  • a látogatók (technikai támogató személyzet stb.) korlátozott hozzáféréssel rendelkezzenek. Fel kell jegyezni az érkezésük és indulásuk dátumát és időpontját;
  • rendszeresen ellenőrizze és frissítse a biztonságos területekre vonatkozó belépési engedélyeket, és szükség szerint távolítsa el azokat.

A gyakorlatban

  • Az Ön cége az e-kereskedelemre szakosodott. A szervereken tárolt ügyfelek személyes adatait külön helyiségekben tárolja. Ezen adatokhoz való hozzáférés biztonsága érdekében ezen helyiségek bejáratát jelvényolvasó védi. Rövidzárlat miatt azonban tűzeset történik. A füstérzékelőnek köszönhetően a tűzoltóság gyorsan riasztást kapott, és képes volt korlátozni az adatvesztést.

Felhasználók hitelesítése

Annak biztosítása érdekében, hogy a felhasználók csak a szükséges adatokhoz férjenek hozzá, egyedi azonosítót kell kapniuk, és a számítógépes eszközök használata előtt hitelesíteniük kell magukat.

A személyazonosítás elérésére szolgáló mechanizmusokat aszerint kategorizáljuk, hogy azok magukban foglalják-e a következőket:

  • amit tudunk, pl. jelszó;
  • amink van, pl. egy intelligens kártya;
  • a személyre jellemző tulajdonság, például a kézzel írott aláírás nyomon követésének módja.

A mechanizmus kiválasztása a kontextustól és különböző tényezőktől függ. A felhasználó hitelesítése akkor tekinthető erősnek, ha e kategóriák közül legalább kettő kombinációját használja.

A gyakorlatban

  • Egy bizalmas információkat tartalmazó biztonsági helyiségbe történő bejutás érdekében, telepíthet egy jelvényolvasót („amink van”), valamint egy hozzáférési kódot („amit tudunk”).

Engedélyek kezelése

Az engedélyezési profilok differenciált szintjét a szükségleteknek megfelelően kell végrehajtani. A felhasználók csak a megismerés szükségessége alapján férhetnek hozzá az adatokhoz.

Jó gyakorlat az engedélyek hitelesítése és kezelése terén:

  • határozzon meg egyedi azonosítót minden felhasználó számára, és tiltsa meg a több felhasználó által megosztott fiókokat. Abban az esetben, ha a generikus vagy megosztott azonosítók használata elkerülhetetlen, belső hitelesítésre és a nyomon követésükhöz szükséges eszközökre van szükség (naplók);
  • a jelszó összetettségére vonatkozó kellően szigorú szabályok (pl. legalább 8 karakter, nagybetűs és speciális karakterek) alkalmazásának előírása;
  • biztonságosan tárolja a jelszavakat;
  • az elavult hozzáférési jogosultságok eltávolítása;
  • rendszeresen (pl. hathavonta) végezzen felülvizsgálatot;

Mit ne tegyünk

  • több személy által megosztott fiókok létrehozása vagy használata;
  • adminisztrátori jogokat biztosít azoknak a felhasználóknak, akiknek nincs rájuk szükségük;
  • a szükségesnél több jogosultságot biztosít a felhasználónak;
  • elfelejti megszüntetni a felhasználónak kiadott ideiglenes engedélyeket (pl. helyettesítés);
  • elfelejti törölni azokat a felhasználókat, akik elhagyták a szervezetet vagy munkahelyet váltottak.

Továbbmenni

Kialakítja, dokumentálja és rendszeresen felülvizsgálja a hozzáférés-ellenőrzési politikát, mivel az a szervezet által alkalmazott kezelésekre vonatkozik, és amely magában foglalja a következőket:

  • a személyes adatokhoz hozzáféréssel rendelkező személy érkezése, távozása vagy megbízásának megváltoztatása esetén szisztematikusan alkalmazandó eljárások;
  • az adatokhoz való jogszerű hozzáféréssel rendelkező személyek esetében a biztonsági intézkedések be nem tartásának következményei;
  • az adatkezeléshez való hozzáférés elosztásának és felhasználásának korlátozására és ellenőrzésére irányuló intézkedések.

A gyakorlatban

  • Amikor egy új alkalmazott csatlakozik a vállalathoz, létre kell hoznia egy új, dedikált felhasználói fiókot erős jelszóval. A munkavállalók nem oszthatják meg egymással hitelesítő adataikat, különösen akkor, ha nem rendelkeznek azonos akkreditációval. Abban az esetben, ha megváltoztatják a pozíciót, felül kell vizsgálniuk bizonyos fájlokhoz vagy rendszerekhez való hozzáférési engedélyeiket.

Álnevesítési adatok

Az álnevesítés a személyes adatok oly módon történő feldolgozása, hogy a személyes adatokat többé nem lehet további információk felhasználása nélkül hozzárendelni egy adott természetes személyhez. Ezeket a kiegészítő információkat külön kell tárolni, és technikai és szervezési intézkedések hatálya alá kell vonni.

A gyakorlatban az álnevesítés az azonosító adatok (név, utónév, személyi szám, telefonszám stb.) közvetlen helyettesítését jelenti egy adatkészletben közvetett azonosító adatokkal (más néven, szekvenciális szám stb.). Lehetővé teszi az egyének adatainak feldolgozását anélkül, hogy azokat közvetlen módon azonosítani tudná őket. A további adatoknak köszönhetően azonban nyomon követhető ezeknek az egyéneknek a személyazonossága. Mint ilyen, az álnevesített adatok továbbra is személyes adatok, és az általános adatvédelmi rendelet hatálya alá tartoznak. Az álnevesítés visszafordítható is, szemben az anonimizálással.

Az álnevesítés az általános adatvédelmi rendelet által javasolt intézkedések egyike a személyes adatok feldolgozásával kapcsolatos kockázatok korlátozására.

Kapcsolat
GDPR 32. cikk

EUR-Lex

Adatok titkosítása

A titkosítás olyan folyamat, amely az információt kóddá alakítja a jogosulatlan hozzáférés megakadályozása érdekében. Ezt az információt csak a megfelelő kulcs segítségével lehet újra elolvasni. A titkosítás az adatok bizalmasságának garantálására szolgál. A titkosított adatok továbbra is személyes adatok. Mint ilyen, a titkosítás az álnevesítési technikák egyikének tekinthető.

Ezenkívül a hash függvények felhasználhatók az adatok integritásának biztosítására. A digitális aláírások nemcsak az integritást biztosítják, hanem lehetővé teszik az információ eredetének és hitelességének ellenőrzését is.

 

Az adatok anonimizálása

 

A személyes adatok anonimizálhatók oly módon, hogy az egyén ne vagy már nem azonosítható. Az anonimizálás olyan eljárás, amely a személyes adatok anonimizálására szolgáló technikákat alkalmaznak, oly módon, hogy lehetetlenné válik a személy azonosítása bármily eszközzel, amely valószínűsíthetően felhasználásra került.

Az anonimizálás, ha megfelelően alkalmazzák, lehetővé teszi az adatok olyan módon történő felhasználását, amely tiszteletben tartja az egyének jogait és szabadságait. Az anonimizálás ugyanis lehetőséget teremt az adatok személyes jellege miatt eredetileg nem engedélyezett adatok újrafelhasználására, és így lehetővé teheti a szervezetek számára, hogy további célokra használják fel az adatokat anélkül, hogy az az egyének magánéletének sérelmébe ütközne. Az anonimizálás lehetővé teszi az adatok megőrzési időszakon túli megőrzését is.

Az anonimizálás megfelelő végrehajtása esetén az általános adatvédelmi rendelet már nem vonatkozik az anonimizált adatokra. Fontos azonban szem előtt tartani, hogy a személyes adatok anonimizálása a gyakorlatban nem mindig lehetséges vagy nem könnyen megvalósítható. Meg kell vizsgálni, hogy az anonimizálás alkalmazható-e a szóban forgó adatokra, és megőrizhető-e, figyelembe véve a személyes adatok kezelésének sajátos körülményeit. Az anonimizálás általános adatvédelmi rendelettel összhangban történő sikeres végrehajtásához gyakran további jogi vagy technikai szakértelemre van szükség.

Hogyan ellenőrizhető az anonimizálás hatékonysága?

Az európai adatvédelmi hatóságok három kritériumot határoznak meg annak biztosítására, hogy az adatkészlet valóban anonim legyen:

  1. Kiválasztás: az adatkészletben nem lehet elkülöníteni az egyénre vonatkozó információkat.
  2. Összekapcsolhatóság: nem szabad lehetővé tenni az ugyanazon személyre vonatkozó különálló adatelemek összekapcsolását.
  3. Következtetés: ne lehessen bizonyossággal levezetni az egyénre vonatkozó információkat.

A gyakorlatban

  • Kiválasztás: az önéletrajzok adatbázisában, ahol csak egy személy első és utolsó nevét váltották fel számmal (amely csak ennek a személynek felel meg), még mindig lehetséges egy adott személy más jellemzők alapján történő kijelölése. Ebben az esetben a személyes adatok álnevesítettnek és nem anonimizáltnak minősülnek.
  • Összekapcsolhatóság: az egyének címeit tartalmazó térképészeti adatbázis nem tekinthető névtelennek, ha más, máshol létező adatbázisok ugyanazokat a címeket tartalmazzák más adatokkal, amelyek lehetővé teszik az egyének azonosítását.
  • Következtetés: ha egy állítólagosan névtelen adatkészlet információkat tartalmaz a kérdőív válaszadóinak adókötelezettségéről, és minden 20 és 25 év közötti férfi válaszadó nem adóköteles, akkor arra lehet következtetni, hogy egy adott válaszadó adóköteles-e vagy sem, ha életkoruk és nemük ismert.
Kapcsolat
05/2014. sz. vélemény az anonimizálási technikákról

WP29

Különleges helyzetek

A távmunkára vonatkozó biztonsági intézkedések

A távmunkával összefüggésben garantálni kell a kezelt adatok biztonságát az egyének magánéletének tiszteletben tartása mellett.

Mit kell tenni:

  • Kiadja a távmunka biztonsági szabályzatát vagy legalább a betartandó minimumszabályokat, és közli ezt az alkalmazottakkal a belső szabályzatnak megfelelően;
  • Ha meg kell változtatni az információs rendszer üzleti szabályait a távmunka lehetővé tétele érdekében (pl. az engedélyezési szabályok módosítása, távoli rendszergazdai hozzáférés stb.), figyelembe kell venni a felmerülő kockázatokat, és szükség esetén lépéseket tenni a biztonság szintjének fenntartása érdekében;
  • El kell látni minden alkalmazott munkaállomását legalább egy tűzfallal, víruskereső szoftverrel és egy olyan eszközzel, amely blokkolja a rosszindulatú webhelyekhez való hozzáférést. Ha a munkavállalók saját eszközeiket használhatják, útmutatást kell nyújtani annak biztosításához (lásd a „BYOD biztonsági intézkedések” című részt);
  • VPN beállítása, hogy amikor csak lehetséges, elkerülje szolgáltatásainak az internetnek való közvetlen kitettségét. Lehetőség szerint kéttényezős VPN-hitelesítés engedélyezése;
  • Az alkalmazottaknak a távmunkához megfelelő kommunikációs és együttműködési eszközök biztosítása, amelyek garantálják az adatcsere és a megosztott adatok titkosságát. Válassza ki azokat az eszközöket, amelyeket Ön ellenőriz, és biztosítja, hogy azok legalább a legkorszerűbb kommunikáció hitelesítését és titkosítását biztosítsák, és hogy a továbbított adatokat ne használják fel más célokra (termékfejlesztés, reklám stb.). Egyes fogyasztói szoftverek felhasználói adatokat továbbíthatnak harmadik feleknek, ezért különösen nem alkalmasak vállalati használatra.

Biztonsági intézkedések a BYOD-hoz (Hordozd a saját eszközödet)

A BYOD fejlődésével, különösen a kkv-kban, megszűnik a szakmai és magánélet határa. Még akkor is, ha a BYOD önmagában nem jelenti személyes adatok kezelését, továbbra is biztosítani kell az adatbiztonságot.

A „BYOD” rövidítés a „Bring Your Own Device” kifejezést jelenti, és a személyi számítógépes berendezések professzionális környezetben történő használatára utal. Erre példa egy olyan alkalmazott, aki személyes eszközöket, például számítógépet, tabletet vagy okostelefont használ a vállalati hálózathoz való csatlakozáshoz.

A személyes eszközök használatának lehetősége elsősorban a munkáltató választásán és a nemzeti jogszabályokon múlik. Az általános adatvédelmi rendelet előírja, hogy a kezelt személyes adatok biztonsági szintje azonos legyen, függetlenül a felhasznált eszközöktől. A munkáltatók felelősek vállalatuk személyes adatainak biztonságáért, beleértve azokat az eseteket is, amikor azokat olyan terminálokon tárolják, amelyek felett nincs fizikai vagy jogi ellenőrzésük, de amelyek felhasználása engedélyezett és a vállalat informatikai erőforrásokhoz való hozzáférés biztosított.

Azok a kockázatok, amelyekkel szemben alapvető fontosságú az Ön szervezetének védelme, az adatok rendelkezésre állása, sértetlensége és bizalmassága elleni egyszeri támadástól a vállalat információs rendszerének általános veszélyeztetéséig (behatolás, vírus stb.) terjednek.

Példa ellenőrzőlista

Egy példa arra, hogyan nézhet ki egy ellenőrző lista a szervezet biztonsági szintjének javítására:

  • Az adatkezelők rendszeres tájékoztatása és oktatása a magánélet védelmével kapcsolatos kockázatokról
  • Belső szabályzat kialakítása és kötelező végrehajtatása
  • Beépített és alapértelmezett adatvédelem megvalósítása
  • Győződjön meg arról, hogy a kezelt adatok megfelelőek, relevánsak és a szükséges mértékre korlátozódnak (adatminimalizálás)
  • A bizalmas adatokra vonatkozó információosztályozási szabályzat végrehajtása
  • Az érzékeny adatokat tartalmazó dokumentumok konkrét megjelölése
  • Információbiztonsági képzéseket és figyelemfelkeltő foglalkozásokat tart, valamint rendszeres emlékeztetőket.
  • Titoktartási megállapodás aláírása az alkalmazottakkal, vagy különleges titoktartási záradékok
  • Automatikus munkamenet zárolás, naprakész tűzfal és víruskereső, biztonsági mentés a felhasználók számára
  • Korlátozza a fizikai kapcsolatot (USB kulcsok, külső merevlemezek stb.)
  • A vállalat telephelyeinek védelme (pl. behatolásjelzők, füstérzékelők, védett kulcsok, a kockázatnak megfelelő megkülönböztetett helyiség, meghatározott területekre való belépés engedélyezése, külön tűzoltó rendszer)
  • Egyedi azonosító megadása a felhasználóknak
  • Hitelesítést igényel a számítógépes létesítményekhez való hozzáféréshez
  • Engedélyek kezelése (pl. külön profilok igény szerint, egyedi azonosító, erős jelszavak)
  • Távmunka-biztonsági szabályzat kiadása
  • Elavult hozzáférési jogosultságok eltávolítása
  • Az engedélyek rendszeres felülvizsgálata
  • Az adatok álnevesítése vagy anonimizálása az egyének újbóli azonosításának korlátozása érdekében
  • Adatok titkosítása a jogosulatlan hozzáférés megakadályozása érdekében
  • VPN telepítése távmunkához
  • Ügyeljen arra, hogy biztosítsa a munkához használt személyes eszközöket (BYOD)